楊弘曧
【摘 要】 為提高航標(biāo)管理單位網(wǎng)絡(luò)安全的管理水平,精準(zhǔn)做好航標(biāo)管理單位網(wǎng)絡(luò)安全管理工作,基于SWOT分析法對福州航標(biāo)處網(wǎng)絡(luò)安全管理方面的內(nèi)外部因素進(jìn)行分析,運(yùn)用SWOT分析法探討與航標(biāo)事業(yè)發(fā)展相適應(yīng)的網(wǎng)絡(luò)安全管理對策。
【關(guān)鍵詞】 福州航標(biāo)處;SWOT分析法;網(wǎng)絡(luò)安全管理;信息化
0 引 言
航標(biāo)管理的信息化和智能化建設(shè)正步入快車道,但目前國內(nèi)外網(wǎng)絡(luò)安全形勢日趨嚴(yán)峻,網(wǎng)絡(luò)安全事件頻發(fā)。面對網(wǎng)絡(luò)安全挑戰(zhàn),航標(biāo)管理單位越來越重視網(wǎng)絡(luò)安全管理工作。在不斷提高財政資源配置效率和財政資金使用效益的背景下,如何把握內(nèi)部網(wǎng)絡(luò)安全管理現(xiàn)狀,精準(zhǔn)做好網(wǎng)絡(luò)安全管理工作,已經(jīng)成為航標(biāo)管理單位事業(yè)發(fā)展過程中面臨的重要課題。
筆者運(yùn)用SWOT分析法分析福州航標(biāo)處網(wǎng)絡(luò)安全管理現(xiàn)狀,構(gòu)建SWOT矩陣,并提出與航標(biāo)事業(yè)發(fā)展相適應(yīng)的網(wǎng)絡(luò)安全管理對策。
1 對網(wǎng)絡(luò)安全管理現(xiàn)狀的SWOT分析
航標(biāo)管理單位網(wǎng)絡(luò)安全管理的總體目標(biāo)是有力保障單位網(wǎng)絡(luò)和信息系統(tǒng)正常運(yùn)行,助力“智能航?!苯ㄔO(shè),推動航標(biāo)事業(yè)高質(zhì)量發(fā)展。根據(jù)這一總體目標(biāo),對照SWOT模型,列出主要考慮要素。
(1)內(nèi)部因素:主管部門重視程度、制度體系、人員網(wǎng)絡(luò)安全意識和能力水平、硬件情況和國產(chǎn)化程度、網(wǎng)絡(luò)應(yīng)急處置水平、網(wǎng)絡(luò)信息化運(yùn)維保障水平。
(2)外部條件:國家/行業(yè)政策指引(等級保護(hù)建設(shè))、網(wǎng)絡(luò)安全服務(wù)產(chǎn)業(yè)發(fā)展情況、網(wǎng)絡(luò)安全工作考核評價、新型的網(wǎng)絡(luò)攻擊手段、網(wǎng)絡(luò)和信息安全漏洞情況。
以福州航標(biāo)處為研究對象進(jìn)行分析。
1.1 內(nèi)部優(yōu)勢(Strengths)
(1)主管部門進(jìn)一步提高重視程度。要做好航標(biāo)處的網(wǎng)絡(luò)安全管理工作,離不開領(lǐng)導(dǎo)的關(guān)注和支持。2017年6月1日,我國網(wǎng)絡(luò)安全領(lǐng)域的根本大法《中華人民共和國網(wǎng)絡(luò)安全法》正式實(shí)施,海事航保系統(tǒng)各級主管部門進(jìn)一步加強(qiáng)了對網(wǎng)絡(luò)安全工作的重視程度,將網(wǎng)絡(luò)安全保障體系建設(shè)納入信息化頂層設(shè)計框架中,滿足未來“智能航?!睂W(wǎng)絡(luò)安全和信息化的要求。福州航標(biāo)處成立了網(wǎng)絡(luò)安全和信息化工作領(lǐng)導(dǎo)小組,在處級層面統(tǒng)籌全局的網(wǎng)絡(luò)安全和信息化工作。
(2)制定管理制度。為進(jìn)一步加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理工作,明確職責(zé),理清責(zé)任,福州航標(biāo)處在上級主管部門指導(dǎo)下,制定了《網(wǎng)絡(luò)安全責(zé)任制管理辦法》,根據(jù)“誰主管誰負(fù)責(zé),誰運(yùn)行誰負(fù)責(zé),誰使用誰負(fù)責(zé)”和“屬地化管理”原則,建立分級管理、分工負(fù)責(zé)的網(wǎng)絡(luò)安全工作責(zé)任制,明確了領(lǐng)導(dǎo)班子成員的網(wǎng)絡(luò)安全責(zé)任。航標(biāo)處所屬部門均簽訂了《網(wǎng)絡(luò)安全責(zé)任承諾書》,層層壓實(shí)網(wǎng)絡(luò)安全管理職責(zé)。
(3)建立較為完善的網(wǎng)絡(luò)信息化運(yùn)維保障體系。福州航標(biāo)處建立了較為完善的網(wǎng)絡(luò)信息化運(yùn)維保障體系,每年安排預(yù)算資金用于網(wǎng)絡(luò)安全和信息運(yùn)維的支出,并按上級要求細(xì)化了網(wǎng)絡(luò)安全專業(yè)崗位職責(zé)和人員設(shè)置。同時,派駐專業(yè)技術(shù)人員開展處理機(jī)關(guān)本級的網(wǎng)絡(luò)信息化日常運(yùn)維工作,定期對派出機(jī)構(gòu)機(jī)房進(jìn)行健康巡檢。福州航標(biāo)處還建立了部門網(wǎng)絡(luò)安全員聯(lián)絡(luò)機(jī)制,促進(jìn)上下聯(lián)動,確保上級下達(dá)的各項網(wǎng)絡(luò)安全工作的閉環(huán)管理。
1.2 內(nèi)部劣勢(Weaknesses)
(1)人員網(wǎng)絡(luò)安全意識水平和操作技能水平低。人是網(wǎng)絡(luò)安全中最不穩(wěn)定的因素。航標(biāo)處工作人員并非都是IT專業(yè)人員,因而一般只了解同一終端訪問內(nèi)外網(wǎng)需物理隔離、信息系統(tǒng)設(shè)置強(qiáng)口令等日常工作中基礎(chǔ)的信息安全知識??傮w來說,航標(biāo)處工作人員欠缺具體的網(wǎng)絡(luò)管理軟件安全操作技能,可能會因為操作失誤而導(dǎo)致工作數(shù)據(jù)和個人數(shù)據(jù)泄露,也可能因為不能熟練操作網(wǎng)絡(luò)管理軟件而誤刪重要數(shù)據(jù)或無意中關(guān)閉或卸載軟件等;因此,人員網(wǎng)絡(luò)安全意識水平和操作技能水平低是制約網(wǎng)絡(luò)安全工作水平的重要因素。
(2)設(shè)備性能水平和可靠性程度低。在享受到網(wǎng)絡(luò)和信息化帶來的便利的同時,不能忽視網(wǎng)絡(luò)安全建設(shè)的投入,特別是硬件的投入。在“過緊日子”的思想指導(dǎo)下,航標(biāo)處對于信息化設(shè)備的投入一般以不影響業(yè)務(wù)工作為前提,有限的投資多用于采購終端和網(wǎng)絡(luò)設(shè)備上,現(xiàn)有的網(wǎng)絡(luò)安全產(chǎn)品性能水平與航標(biāo)處網(wǎng)絡(luò)安全能力需求尚存在一定差距。目前航標(biāo)單位在用的網(wǎng)絡(luò)信息化設(shè)備,國產(chǎn)化程度較低,影響設(shè)備使用方面的可靠性和安全性。
(3)網(wǎng)絡(luò)應(yīng)急預(yù)案不夠完善。為應(yīng)對網(wǎng)絡(luò)安全突發(fā)情況,福州航標(biāo)處已按規(guī)定編制了《網(wǎng)絡(luò)安全事件處置應(yīng)急預(yù)案》,并每年安排網(wǎng)絡(luò)安全應(yīng)急演練;但在應(yīng)急預(yù)案的科學(xué)性、易操作性及網(wǎng)絡(luò)安全應(yīng)急演練的形式等方面仍需加以改進(jìn),特別是應(yīng)急預(yù)案和應(yīng)急演練未能形成完整的閉環(huán),從整體上制約了本部門網(wǎng)絡(luò)安全應(yīng)急處置能力的提升。
1.3 外部機(jī)會(Opportunities)
(1)國家/行業(yè)政策的支持。2019年5月,《網(wǎng)絡(luò)安全等級保護(hù)基本要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》等國家標(biāo)準(zhǔn)正式發(fā)布,標(biāo)志著我國網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn)體系的到來。近年來,根據(jù)上級要求,福州航標(biāo)處已建的信息系統(tǒng)均按照不低于等級保護(hù)二級的要求進(jìn)行定級備案,并通過了測評機(jī)構(gòu)的等級保護(hù)測評。等級保護(hù)測評進(jìn)一步完善了福州航標(biāo)處的信息系統(tǒng)安全管理制度,有效提升了整體網(wǎng)絡(luò)安全防護(hù)能力。
(2)網(wǎng)絡(luò)安全產(chǎn)品市場和服務(wù)市場發(fā)展良好。隨著網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn)體系的正式實(shí)施,網(wǎng)絡(luò)安全的產(chǎn)品類市場和服務(wù)類市場均在持續(xù)發(fā)展壯大,網(wǎng)絡(luò)防護(hù)類、網(wǎng)絡(luò)檢測類、安全審計類等產(chǎn)品將成為網(wǎng)絡(luò)安全整體解決方案中必備的基礎(chǔ)安全措施。國內(nèi)知名企業(yè)推出越來越多高可靠性、高性能的網(wǎng)絡(luò)安全產(chǎn)品和優(yōu)質(zhì)的網(wǎng)絡(luò)安全服務(wù),使航標(biāo)處更容易通過市場采購到符合自身需求、性價比高的網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)。
(3)網(wǎng)絡(luò)安全工作考核評價發(fā)揮作用。近年來,福州航標(biāo)處的上級主管部門為進(jìn)一步規(guī)范和提升網(wǎng)絡(luò)安全日常管理工作水平,組織開展年度網(wǎng)絡(luò)安全工作考核評價,通過網(wǎng)絡(luò)安全工作考核評價表列出網(wǎng)絡(luò)安全考核的量化評分標(biāo)準(zhǔn),全方位覆蓋網(wǎng)絡(luò)安全管理工作內(nèi)容,為基層航標(biāo)處開展網(wǎng)絡(luò)安全工作指明了方向。
1.4 外部威脅(Threats)
(1)新型網(wǎng)絡(luò)攻擊手段帶來的威脅。常見的網(wǎng)絡(luò)攻擊手段有DDOS攻擊、病毒勒索攻擊、Web應(yīng)用攻擊等。近年來,基于攻擊者視角的釣魚郵件、文字欺騙類等新型郵件攻擊手段逐漸興起,新型網(wǎng)絡(luò)攻擊手段層出不窮。在應(yīng)對不同類型的網(wǎng)絡(luò)攻擊方面,航標(biāo)處網(wǎng)絡(luò)安全軟件和硬件還存在一定差距。
(2)網(wǎng)絡(luò)和信息安全漏洞帶來的威脅。目前,常用的操作系統(tǒng)、數(shù)據(jù)庫軟件、Web服務(wù)器軟件、服務(wù)器和網(wǎng)絡(luò)設(shè)備均存在一定的漏洞和后門,特別是國外軟件,更是安全漏洞頻出。網(wǎng)絡(luò)黑客往往利用這些安全漏洞來侵入和破壞系統(tǒng),輕則干擾系統(tǒng)正常運(yùn)行,重則導(dǎo)致數(shù)據(jù)泄露、威脅網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施。近兩年來,航標(biāo)處為處置網(wǎng)絡(luò)安全漏洞投入了較多的人力和物力。
2 航標(biāo)單位網(wǎng)絡(luò)安全工作的策略
根據(jù)SWOT分析法,面對當(dāng)前形勢,為促進(jìn)航標(biāo)處網(wǎng)絡(luò)安全工作有效開展,應(yīng)采取以下4種策略。
即充分發(fā)揮自身優(yōu)勢,并利用外部有利條件。
(1)通過開展信息系統(tǒng)等級保護(hù)工作,完善網(wǎng)絡(luò)安全體制機(jī)制。福州航標(biāo)處在開展等級保護(hù)測評工作時,通過現(xiàn)場測評收集到等級保護(hù)測評機(jī)構(gòu)對于信息系統(tǒng)本身、部署環(huán)境及機(jī)房管理方面的建議,有利于網(wǎng)絡(luò)安全體制機(jī)制的不斷完善。
(2)有效發(fā)揮第三方服務(wù)提供商的作用,補(bǔ)充航標(biāo)處網(wǎng)絡(luò)安全保障力量。做好網(wǎng)絡(luò)安全工作需要配備具有相應(yīng)專業(yè)技能的人員??紤]到市場上有不少成熟的網(wǎng)絡(luò)安全服務(wù)提供商,航標(biāo)處可以通過招標(biāo)采購選擇具有專業(yè)技術(shù)力量、服務(wù)質(zhì)量好、性價比高的服務(wù)商作為單位網(wǎng)絡(luò)安全保障的補(bǔ)充力量。
(3)借助網(wǎng)絡(luò)安全工作考核的“指揮棒”,促進(jìn)航標(biāo)處整體網(wǎng)絡(luò)安全工作。福州航標(biāo)處的上級單位每年都會開展網(wǎng)絡(luò)安全工作考核,考核內(nèi)容涵蓋落實(shí)網(wǎng)絡(luò)安全責(zé)任制、制訂網(wǎng)絡(luò)安全規(guī)劃計劃、落實(shí)網(wǎng)絡(luò)安全等級保護(hù)制度等19個大項,基本覆蓋了網(wǎng)絡(luò)安全工作各個方面。借助網(wǎng)絡(luò)安全工作考核的“指揮棒”作用,可以有力促進(jìn)航標(biāo)處整體網(wǎng)絡(luò)安全工作的開展。
2.2 ST策略
即發(fā)揮內(nèi)部優(yōu)勢,應(yīng)對外部威脅。
(1)發(fā)揮好各級網(wǎng)絡(luò)安全信息員的作用,及時預(yù)警和處理外部網(wǎng)絡(luò)威脅。福州航標(biāo)處建立了由職能部門牽頭,各部門參與的網(wǎng)絡(luò)安全信息員聯(lián)絡(luò)制度,在日常網(wǎng)絡(luò)安全信息通報和重大活動時段的網(wǎng)絡(luò)安全保障工作中發(fā)揮了積極作用。特別是部門信息員在發(fā)現(xiàn)可疑的網(wǎng)絡(luò)安全事件時,應(yīng)及時向職能部門報告,并立刻進(jìn)行處理。
(2)通過制度建設(shè)來有效應(yīng)對外部的網(wǎng)絡(luò)攻擊和漏洞的威脅。目前航標(biāo)處已根據(jù)上級職能部門的部署,加入了網(wǎng)絡(luò)安全信息通報機(jī)制,每月每季度向上級報送本航標(biāo)處時段內(nèi)的網(wǎng)絡(luò)安全信息。下一步,還應(yīng)加快內(nèi)部網(wǎng)絡(luò)安全管理實(shí)施細(xì)則的制定工作。
2.3 WO策略
即利用外部機(jī)會,減少內(nèi)部劣勢。
(1)加強(qiáng)有關(guān)法規(guī)制度的宣貫培訓(xùn),提高人員的網(wǎng)絡(luò)安全意識水平和操作技能水平。近年來,國家層面相繼出臺了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等基礎(chǔ)性法規(guī),每年都會舉辦“國家網(wǎng)絡(luò)安全宣傳周”相關(guān)活動,航標(biāo)處要抓住這些有利契機(jī),運(yùn)用好政策引導(dǎo)作用,可以邀請行業(yè)專家對全體工作人員開展網(wǎng)絡(luò)安全意識和操作技能培訓(xùn),提升工作人員抵御網(wǎng)絡(luò)安全風(fēng)險的能力。
(2)對照網(wǎng)絡(luò)安全考核評價標(biāo)準(zhǔn),有序開展網(wǎng)絡(luò)安全產(chǎn)品的更新采購。網(wǎng)絡(luò)安全考核評價標(biāo)準(zhǔn)涉及編制網(wǎng)絡(luò)安全規(guī)劃、依法留存日志、風(fēng)險漏洞管理等內(nèi)容,航標(biāo)處可以據(jù)此制訂相關(guān)網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)的中長期采購計劃,并在采購時關(guān)注信息安全產(chǎn)品的自主可控性。
(3)引入外部網(wǎng)絡(luò)安全服務(wù)提供商,提升網(wǎng)絡(luò)安全應(yīng)急水平。針對航標(biāo)管理中網(wǎng)絡(luò)安全應(yīng)急能力方面存在的不足,可以通過引入外部網(wǎng)絡(luò)安全服務(wù)提供商,協(xié)助航標(biāo)處開展由各部門共同參與的網(wǎng)絡(luò)安全應(yīng)急演練,演練前應(yīng)制訂演練方案,演練結(jié)束后根據(jù)演練過程相關(guān)人員的應(yīng)對情況,結(jié)合工作實(shí)際,有針對性地完善網(wǎng)絡(luò)安全應(yīng)急預(yù)案,做到應(yīng)急預(yù)案和應(yīng)急演練的閉環(huán)管理,切實(shí)提升單位網(wǎng)絡(luò)安全應(yīng)急水平。
2.4 WT策略
即減少內(nèi)部劣勢,應(yīng)對外部威脅。
(1)加強(qiáng)專業(yè)人員儲備和知識復(fù)用管理,為防范外部網(wǎng)絡(luò)威脅提供技術(shù)支撐。除通過服務(wù)外包形式獲得第三方運(yùn)維團(tuán)隊的技術(shù)支持外,還應(yīng)加快培養(yǎng)單位內(nèi)部具備專業(yè)知識的人員,人員儲備應(yīng)該包括網(wǎng)絡(luò)安全崗位的管理人員、實(shí)際操作的技術(shù)人員及維護(hù)人員等。另外,可通過建立網(wǎng)絡(luò)信息管理知識庫,提高知識復(fù)用率。
(2)健全網(wǎng)絡(luò)監(jiān)測預(yù)警硬件體系,應(yīng)對外部網(wǎng)絡(luò)威脅??紤]到預(yù)算資金有限,建議在采購網(wǎng)絡(luò)安全產(chǎn)品時應(yīng)結(jié)合等級保護(hù)測評結(jié)果和整改建議,優(yōu)先采購網(wǎng)絡(luò)入侵檢測設(shè)備、日志審計等關(guān)鍵性的網(wǎng)絡(luò)安全產(chǎn)品,健全網(wǎng)絡(luò)監(jiān)測預(yù)警和處置的硬件體系。同時,積極考慮采用第三方網(wǎng)絡(luò)掃描工具,多手段應(yīng)對外部網(wǎng)絡(luò)威脅。
3 結(jié) 語
通過科學(xué)分析福州航標(biāo)處網(wǎng)絡(luò)安全現(xiàn)狀,研究探討今后網(wǎng)絡(luò)安全工作的對策,著力發(fā)揮自身的管理優(yōu)勢,引進(jìn)社會第三方運(yùn)維保障力量。同時,結(jié)合福州航標(biāo)處實(shí)際建立健全網(wǎng)絡(luò)安全體制機(jī)制,加強(qiáng)宣傳教育和崗位培訓(xùn)著力,采購必要的網(wǎng)絡(luò)安全產(chǎn)品和服務(wù),為網(wǎng)絡(luò)安全工作提供人才、設(shè)備和制度體系的支撐,持續(xù)提高單位網(wǎng)絡(luò)安全的管理水平。